사이버 보안의 미래는 회복탄력성뿐 아니라 취약성 방지입니다.

수년 동안 회복탄력성은 사이버 보안의 표준이 되어 왔습니다. 시스템 장애가 발생해도 팀은 대응하고 서비스는 다시 온라인 상태가 되며 비즈니스는 계속 진행됩니다.

하지만 이 모델은 더 이상 유효하지 않은 가정을 전제로 합니다. 사고 후 복귀한 환경이 오늘날의 위협에 여전히 적합하다고 가정합니다. 또한 방어자가 공격자와 보조를 맞출 수 있고 어제의 아키텍처가 앞으로의 상황을 처리할 수 있다고 가정합니다.

RSAC 2026 세션, 회복탄력성을 넘어서: 취약성 방지 사이버 시스템 구축'에서는 이러한 가정에 도전장을 던졌습니다.

일루미오의 수석 에반젤리스트이자 제로 트러스트의 창시자인 존 킨더백(John Kindervag)과 애플리케이션 보안 엔지니어링 및 위협 관리 상태 담당 부사장 안토니 로드리게스(Anthony Rodriguez)는 항상 변화하고 끊임없이 압박받는 환경에서는 복구만으로는 더 이상 충분하지 않다고 주장합니다.

이들이 설명한 변화의 방향은 취약성 방지입니다. 조직은 인시던트를 단순히 복구하는 데 그치지 않고 시스템 운영 방식을 개선하는 데 사용해야 합니다. 즉, 영향을 제한하고 실시간으로 적응하며 모든 중단에 대해 더 강력해지는 보안 프로그램을 설계해야 합니다.

이러한 변화는 사이버 보안을 구축하고 측정하는 방식에도 변화를 가져왔습니다. 서비스 복구에서 위험 감소로, 사고에 대한 대응에서 사고로부터의 학습으로, 정적 제어에서 직면한 위협에 따라 진화하는 시스템으로 초점을 이동합니다.

회복탄력성은 더 이상 목적지가 아닙니다.

사이버 복원력은 여전히 중요하지만 더 이상 최종 목표는 아닙니다.

킨더백은 회복탄력성을 대부분의 조직이 잘 알고 있는 루프, 즉 무언가 고장 나면 고치고 다시 이전으로 돌아가는 것으로 설명했습니다. 시스템은 유지되지만 변경되지는 않습니다.

취약성 방지 기능은 이 루프를 변경합니다. 모든 사건은 학습의 원천이 됩니다. 시스템은 단순한 복구가 아니라 진화할 것으로 예상됩니다.

킨더백은 "취약성을 극복한다는 것은 우리가 배우고 적응하며 더 강해진다는 것을 의미합니다."라고 말합니다.

바로 이 지점에서 제로 트러스트 전략이 등장합니다. 이는 단순한 일련의 제어나 액세스 결정을 위한 프레임워크가 아니라 지속적인 적응을 위한 메커니즘입니다.

킨더백은 이를 '적응 엔진'이라고 불렀는데, 이는 유용한 사고 방식입니다. 시스템이 실시간으로 관찰, 시행, 조정하도록 구축되면 단순히 압력을 견디는 데 그치지 않습니다. 그들은 시간이 지남에 따라 더 강해지는 방식으로 이에 대응합니다.

행복한 길이 아닌 현실을 위한 디자인

오늘날의 시스템은 이상적인 조건에 맞춰 설계되는 경우가 너무 많습니다.

로드리게스는 "우리는 종종 행복한 길을 내려다보지만, 그 행복한 길은 독이 됩니다."라고 설명합니다.

실제로 환경은 예측할 수 있는 것이 아닙니다. 구성이 유동적이고 종속성이 변경되며 사용자가 설계 가정과 일치하지 않는 방식으로 행동합니다.  

공격자들은 대부분의 시스템이 구축하는 '행복한 경로' 외부에 존재하기 때문에 이러한 틈새를 악용합니다.

취약성 방지를 위한 설계는 스트레스가 지속된다는 사실을 인정하는 것을 의미합니다. 피하거나 최소화할 수 있는 것이 아닙니다. 팀은 스트레스를 계획하고 시스템 운영 방식에 통합해야 합니다.  

스트레스가 예외가 아닌 예상되는 입력이 되면 스트레스를 더 효과적으로 처리할 수 있는 시스템을 구축할 수 있습니다.

이러한 변화는 애플리케이션 테스트 방식부터 인프라 관리 방식에 이르기까지 모든 면에서 나타납니다. 또한 팀이 실패에 대해 생각하는 방식도 바뀝니다. 이를 비정상적인 것으로 취급하는 대신 프로세스의 일부로 받아들입니다.

정적 환경이 견디지 못하는 이유

세션 내내 일관된 주제는 동적 환경에서 정적 보안 모델에 의존할 때의 위험성이었습니다.

"정적은 독성이 있습니다."라고 로드리게스는 말합니다.

이 진술은 더 광범위한 문제를 반영합니다. 기존의 많은 컨트롤은 자주 변경되지 않는 환경을 위해 설계되었습니다. 보안팀은 정책을 미리 정의하고, 이러한 정책은 단일 결정 지점을 기반으로 액세스 권한을 부여하며, 정책 시행은 안정성을 전제로 합니다.

최신 환경은 그런 식으로 작동하지 않습니다. 애플리케이션은 클라우드와 데이터 센터에 분산되어 있습니다. 워크로드는 확장 및 축소됩니다. 사용자는 다양한 위치와 디바이스에서 연결합니다.

로드리게스는 인증 처리 방식에서 이러한 격차를 가장 명확하게 보여주는 사례 중 하나를 지적했습니다. "우리는 MFA와 같은 단일 신호에 기반하여 의사 결정을 내리곤 했습니다."라고 그는 말합니다. "버튼을 누르면 접속이 완료되며, 인증 후 패킷이 어떤 작업을 수행하는지 아무도 보지 않습니다."

이러한 접근 방식은 신뢰를 한 순간으로 취급합니다. 하지만 사용자가 인증된 후에도 위험은 멈추지 않습니다. 전체 세션 내내 계속됩니다.

취약성 방지로 나아가기 위해서는 정적인 의사 결정에서 지속적인 평가로 전환해야 합니다. 시스템은 시간 경과에 따른 행동을 관찰하고 그에 따라 조정해야 합니다.  

제로 트러스트 원칙은 특히 동적으로 제어를 시행하고 위험 발생 시 이를 억제하는 기능과 결합할 때 더욱 중요해집니다.

신호 활용도 높이기

이 세션에서 논의된 또 다른 중요한 변화는 조직이 신호를 처리하는 방식입니다.

보안 팀에는 데이터가 부족하지 않습니다. 문제는 항상 데이터를 실행 가능한 데이터로 전환하는 것이었습니다.  

로드리게스는 의미 있는 신호에 집중하는 것이 중요하다고 강조했습니다. "더 많은 신호에 집중하고 노이즈는 줄이면 시스템의 복원력이 높아집니다."라고 그는 말합니다. "회복하고 적응하며 진화할 것입니다."

킨더백은 이를 기존 접근 방식의 한계와 연결했습니다. "수동 프로세스 때문에 신호를 제대로 소비할 수 없었습니다."

이제 변화가 시작되고 있습니다. 더 나은 분석과 AI 기반 접근 방식을 통해 조직은 더 많은 신호를 처리하고 더 빠르게 대응할 수 있습니다. 하지만 진정한 가치는 그다음에 일어나는 일에서 비롯됩니다.

신호는 단순히 알림을 트리거하는 데 그쳐서는 안 되며, 행동을 유도해야 합니다. 그리고 이러한 조치는 시스템에 피드백되어 향후 작동 방식을 개선해야 합니다.

이를 통해 가시성, 시행, 학습이 모두 연결되는 피드백 루프가 만들어집니다. 시간이 지남에 따라 이 루프는 취약성 방지를 위한 토대가 됩니다. 이를 통해 시스템은 실제 조건에 따라 작동 방식을 지속적으로 개선할 수 있습니다.

반복되는 사고의 사이클 끊기

토론에서 가장 솔직한 부분 중 하나는 사고 발생 후의 대응에 관한 것이었습니다.

킨더백은 대부분의 팀이 알아볼 수 있는 패턴을 강조했습니다. "우리는 너무 자주 뱅을 기다립니다. 기업들은 나쁜 일이 일어나기 전까지는 신경 쓰지 않습니다."

조직이 효과적으로 대응하더라도 후속 조치에 한계가 있는 경우가 많습니다. 문제가 해결되고 보고서가 작성되면 몇 주 또는 몇 달 후에 동일한 문제가 다시 발생합니다.

"기존의 재해 복구 프로세스는 장애, 장애 조치, 복구로 이어지는 선형적인 방식이었습니다."라고 로드리게스는 말합니다.

부족한 것은 시스템 개선입니다. 취약성 방지를 위해서는 조직이 각 사고에서 얻은 교훈을 바탕으로 이를 광범위하게 적용해야 합니다. 하나의 문제를 해결하는 것만으로는 충분하지 않습니다. 목표는 모든 종류의 문제를 제거하는 것입니다.

즉, 보안팀은 다음 사항에 집중해야 합니다:  

• 여러 환경에서 정책 업데이트하기
• 이전에는 간과되었던 영역의 가시성 향상
• 이전에는 수동으로 처리하던 응답 자동화

이러한 단계가 없으면 조직은 반복되는 인시던트의 사이클에 갇혀 있을 수밖에 없습니다.

성공의 측정 방식 재고하기

킨더백과 로드리게스는 조직이 반취약성을 향해 나아감에 따라 팀의 성공 측정 방식이 변화해야 하는 이유에 대해서도 논의했습니다.

기존의 메트릭은 응답 시간과 인시던트 볼륨에 초점을 맞추는 경향이 있습니다. 이러한 지표는 여전히 가치가 있지만 시스템이 실제로 개선되고 있는지 여부는 파악할 수 없습니다.

로드리게스는 다른 관점을 제시했습니다:

"중요한 지표는 얼마나 많은 인시던트를 처리하고 있느냐가 아니라 얼마나 많은 인시던트를 처리하지 않고 있느냐입니다."라고 그는 말합니다.

이러한 변화는 활동에서 성과로 초점을 옮깁니다. 공격을 억제하고 위험을 줄이며 최대한 업무 중단을 방지하는 데 중점을 둡니다.  

그가 언급한 사고당 위험 감소 및 서비스 중단 방지와 같은 다른 메트릭은 비즈니스에서 중요하게 생각하는 것과 더 밀접하게 연관되어 있습니다. 이는 팀이 바쁘게 지내는지 여부뿐만 아니라 보안 노력이 의미 있는 변화를 가져오고 있는지를 반영합니다.

취약성 방지 시작점

많은 조직에서 이를 적용하는 방법을 찾는 것이 과제입니다.

"가장 큰 문제는 사람들이 어떻게 시작해야 할지 모른다는 점입니다."라고 로드리게스는 말합니다. "그리고 일단 시작하면 유토피아를 건설하려고 합니다."

모든 것을 한꺼번에 해결하려고 하면 보통 진행이 더뎌집니다. 보다 실용적인 접근 방식은 점진적인 개선에 집중하는 것입니다.

이는 특히 위험을 파악하기 어려운 환경에서 시스템이 통신하는 방식에 대한 가시성을 확보하는 것부터 시작할 수 있습니다. 이를 통해 조직은 보다 세분화된 제어를 시행하고, 정적 정책에 대한 의존도를 줄이고, 신호와 조치를 연결하는 피드백 루프를 구축할 수 있습니다.

테스트도 초기에 중요한 역할을 합니다. 제한된 방식으로라도 시스템에 제어된 스트레스를 도입하면 가장 큰 격차가 존재하는 부분과 다음에 집중해야 할 부분을 파악할 수 있습니다.

시간이 지남에 따라 이러한 단계가 합쳐집니다. 이를 통해 고급 기능과 보안에 대한 보다 적응적인 접근 방식을 지원하는 기반을 구축할 수 있습니다.

회복탄력성에서 안티-취약성으로의 전환이 지금 중요한 이유

RSAC에서 킨더백과 로드리게스의 대화는 업계 전반에 걸쳐 일어나고 있는 광범위한 변화를 반영합니다.

환경은 점점 더 복잡해지고 공격자의 움직임은 더욱 빨라지고 있습니다. AI는 방정식의 두 가지 측면을 모두 가속화하고 있습니다.

이러한 맥락에서 복원력만을 기반으로 구축된 사이버 전략은 이를 따라잡기 어려울 것입니다. 사고로부터 복구하는 것은 중요합니다. 하지만 근본적인 문제를 해결하지는 못합니다. 시스템이 중단될 때마다 동일한 상태로 돌아간다면 동일한 취약점이 남게 됩니다.

취약성 방지는 다른 길을 제시합니다. 스트레스를 개선을 위한 입력으로 취급하고 시간이 지남에 따라 적응할 수 있는 시스템을 구축합니다.

이러한 변화는 유출을 방지하는 데 있어 특히 중요합니다. 공격자가 환경을 오래 이동할 수 있을수록 그 영향력은 커집니다. 이러한 움직임을 줄이고, 폭발 반경을 제한하고, 각 이벤트에서 학습하는 것은 모두 더 튼튼한 방어력을 구축하기 위한 과정입니다.

위협과 방어의 격차가 계속 벌어지고 있는 지금, 그 차이가 어떤 기업이 따라잡고 어떤 기업이 뒤처지는지를 결정할 것입니다.

어떻게 일루미오 플랫폼 는 침입을 차단하고, 측면 이동을 제한하며, 제로 트러스트 전략을 취약성 방지 시스템으로 전환합니다.